梦幻西游盗号木马东山再起!
06月 27th, 2008 -
“梦幻西游盗号器135168”(Win32.TrojDownloader.Delf.135168),这是个网游盗号木马。它会盗取网络游戏《梦幻西游》的帐号。为了躲避杀毒软件的查杀,病毒作者通过加壳加花指令进行免杀处理。并且,他为了独占从用户机器所窃取的信息,还会破坏其它木马下载器的正常运行。
盗号木马依然是目前计算机病毒的主流,并且木马制作者间的竞争也越来越激烈。毒霸反病毒工程师近日就又捕获一个会“黑吃黑”的盗号木马。
病毒原文件在进入用户电脑后,就释放出文件inell.exe到系统盘%Program Files%目录下运行,搜索并修改hosts文件,屏蔽部分其它盗号木马的下载站点,破坏它们的正常运行,以达到黑吃黑的目的。
这个inell.exe文件在完成以上工作的同时,还会释放出一个HBKrnl.dll病毒文件到%windows%\system32\目录中,并将它写入注册表启动项,达到开机自动启动之目的。整个木马窃取信息的任务将由这个dll文件来完成。
当随着系统启动,病毒文件检测系统内是否存在my.exe进程,监控梦幻西游文件mhmain.dll是否处于活动状态,如发现处于活动状态则关闭游戏进程,用户重新进入游戏时记录帐号密码等信息,窃取成功后发送到病毒作者指定的多个地址,令用户遭受虚拟财产的损失。
顺便提及的是,该毒具有自删除功能,运行完毕后就会删除自己的原始文件。不过习惯手动杀毒的用户依然可以根据其释放出的文件发现该毒的蛛丝马迹。